Vazamento de dados na LGPD: o que fazer passo a passo

Às 9h de uma segunda-feira, a recepcionista de uma clínica em Campinas percebe que enviou uma planilha com dados de 800 pacientes para o fornecedor errado. Nesse momento, a empresa acaba de sofrer um vazamento de dados, e o relógio da LGPD começa a correr.

A maioria das pequenas empresas só pensa em vazamento de dados depois que ele acontece. O problema é que a Lei Geral de Proteção de Dados avalia não só a falha, mas principalmente a resposta que a empresa dá a ela. E essa resposta tem prazo: 3 dias úteis para comunicar a autoridade nos casos mais graves.

Neste guia, você vai entender o que a LGPD considera vazamento de dados, quando a comunicação à ANPD, a Autoridade Nacional de Proteção de Dados, e aos titulares é obrigatória, quais são os prazos atuais e como montar um plano de resposta em 7 passos. No final, respondemos as dúvidas mais comuns sobre o tema. Tudo em linguagem de empresário, sem juridiquês e sem pânico.

O que é considerado vazamento de dados na LGPD?

A LGPD não usa a palavra "vazamento". A lei fala em incidente de segurança: qualquer evento que comprometa a confidencialidade, a integridade ou a disponibilidade de dados pessoais. O vazamento, que é o acesso ou a exposição não autorizada desses dados, é o tipo de incidente mais comum, mas não é o único.

Na prática, o conceito é mais amplo do que parece. Veja situações que contam como incidente de segurança no dia a dia de uma pequena empresa:

• E-mail com planilha de clientes enviado para o destinatário errado
• Sistema ou conta de e-mail invadidos por criminosos
• Notebook ou celular da empresa perdido ou furtado
• Funcionário que copia a base de clientes antes de sair
• Ataque de ransomware que sequestra os dados da empresa
• Documentos com dados pessoais descartados no lixo sem destruição

Repare que só dois desses cenários envolvem hackers. Erro humano e descuido operacional causam boa parte dos incidentes, o que é até uma boa notícia: dá para prevenir com medidas simples, como veremos adiante.

O que diz a LGPD: artigo 48, artigo 46 e artigo 42

Três artigos da Lei 13.709/2018 organizam o tema. Vale conhecer cada um deles.

O artigo 48 é o coração da regra: o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. O mesmo artigo define o que essa comunicação precisa conter:

Conteúdo mínimo da comunicação (art. 48, § 1º):
1. Descrição da natureza dos dados pessoais afetados;
2. Informações sobre os titulares envolvidos;
3. Indicação das medidas técnicas e de segurança utilizadas;
4. Riscos relacionados ao incidente;
5. Motivos da demora, se a comunicação não foi imediata;
6. Medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

O artigo 46 estabelece o dever de prevenção: toda empresa precisa adotar medidas de segurança técnicas e administrativas para proteger os dados pessoais. Essa obrigação existe antes de qualquer incidente, não depois.

Já o artigo 42 trata da conta que chega: quem causa dano a alguém por violar a lei é obrigado a reparar. É a porta de entrada para indenizações.

Um detalhe que confunde muita gente: quem comunica o incidente é o controlador, a empresa que decide como os dados são usados. Se o vazamento aconteceu em um fornecedor seu, ele deve avisar você, e a comunicação formal continua sendo sua responsabilidade. Nosso guia de controlador e operador na LGPD explica quem responde pelo quê.

Todo vazamento de dados precisa ser comunicado à ANPD?

Não. A comunicação à ANPD e aos titulares só é obrigatória quando o incidente pode acarretar risco ou dano relevante às pessoas afetadas. Incidentes menores devem ser registrados internamente, com a avaliação documentada, mas não precisam ser comunicados. Quem define os critérios de relevância é a Resolução CD/ANPD nº 15/2024.

Pela regra atual, o risco é relevante quando o incidente pode afetar significativamente interesses e direitos dos titulares e, ao mesmo tempo, envolve pelo menos um destes elementos:

• Dados sensíveis, como saúde, religião ou biometria
• Dados de crianças, adolescentes ou idosos
• Dados financeiros
• Dados de autenticação em sistemas, como logins e senhas
• Dados protegidos por sigilo legal, judicial ou profissional
• Dados em larga escala

Para facilitar a decisão, veja como os critérios funcionam em situações comuns:

A clínica do início do artigo se encaixa na primeira linha. Planilha com dados de saúde de 800 pacientes é dado sensível em volume considerável: risco relevante, comunicação obrigatória. O destino dela dependeria dos passos seguintes, e é exatamente por isso que o plano de resposta importa tanto.

Uma regra de ouro para guardar: todo incidente entra no registro interno; só os de risco relevante vão à ANPD. A Resolução exige que a empresa mantenha o registro de todos os incidentes, inclusive os não comunicados, por no mínimo 5 anos. Na dúvida sobre um caso concreto, avalie com critério, documente a decisão e, se necessário, consulte um especialista.

Qual o prazo para comunicar um vazamento de dados?

O prazo é de 3 dias úteis, contados a partir do momento em que a empresa toma conhecimento de que o incidente afetou dados pessoais. A regra vale tanto para a comunicação à ANPD quanto para o aviso aos titulares. Para agentes de tratamento de pequeno porte, como microempresas e empresas de pequeno porte, o prazo dobra: 6 dias úteis.

Esses prazos foram fixados pela Resolução CD/ANPD nº 15, de abril de 2024. Antes dela, a lei falava apenas em "prazo razoável", e circulava uma recomendação antiga de 2 dias úteis. Se você encontrar conteúdo com essas referências por aí, desconfie: a regra mudou.

A comunicação à ANPD é feita pelo formulário de Comunicado de Incidente de Segurança (CIS), disponível no site da autoridade. Na prática, quem costuma preparar e acompanhar esse envio é o encarregado de dados (DPO) da empresa. Se alguma informação ainda não estiver disponível, é melhor comunicar com o que se tem: a Resolução permite complementar os dados depois, em até 20 dias úteis.

Já o aviso aos titulares deve ser feito em linguagem simples e de fácil compreensão, de forma direta e individualizada sempre que for possível identificar e contatar as pessoas. Quando não for, a empresa precisa divulgar o incidente por canais amplos, como o site e o e-mail. Nada de comunicado em juridiquês: o objetivo é que o cliente entenda o que aconteceu e o que fazer para se proteger.

Vazou: plano de resposta a incidentes em 7 passos

Com os conceitos no lugar, vamos ao que interessa: o que fazer, na ordem certa, quando o vazamento acontece. Este plano de resposta a incidentes foi pensado para a realidade de uma pequena empresa, sem comitês enormes nem consultorias de plantão.

1. Contenha o incidente. Pare o vazamento antes de qualquer outra coisa. Isole o sistema afetado, troque senhas, revogue acessos, bloqueie contas comprometidas. No caso de envio indevido, peça a exclusão formal ao destinatário e guarde a confirmação.
2. Acione o responsável e monte a sala de crise. Em uma pequena empresa, isso significa reunir o dono, quem cuida da TI e o encarregado de dados, mesmo que seja alguém da equipe com essa função acumulada. Defina um único porta-voz para evitar versões desencontradas.
3. Avalie a extensão do vazamento. Descubra quais dados foram afetados, de quantas pessoas, desde quando e por qual caminho. É aqui que um registro de tratamento de dados atualizado vale ouro: ele mostra em minutos o que a empresa guarda e onde.
4. Classifique o risco. Aplique os critérios de risco relevante da seção anterior. Envolve dado sensível, financeiro, de criança ou de autenticação? Pode afetar significativamente os titulares? Documente a análise por escrito, inclusive se a conclusão for de baixo risco.
5. Comunique a ANPD e os titulares, se o risco for relevante. Envie o CIS dentro do prazo de 3 dias úteis (ou 6, para pequeno porte) e avise os clientes afetados com orientações práticas: trocar senha, ficar atento a golpes, monitorar a conta.
6. Documente tudo. Registre o que aconteceu, quando a empresa soube, o que foi feito, quem decidiu o quê e por que o incidente foi ou não comunicado. Esse registro fica guardado por no mínimo 5 anos e é sua principal defesa em uma fiscalização.
7. Corrija a causa e reforce a segurança. Feche a brecha que originou o problema: atualize sistemas, ajuste permissões, treine a equipe. Depois, revise sua análise de risco para identificar a próxima vulnerabilidade antes que ela vire incidente.

Foi esse roteiro que salvou Caio, dono de um e-commerce de suplementos em Belo Horizonte, em um caso ilustrativo bem comum. Na sexta-feira, ele descobriu uma invasão que expôs e-mails e senhas de 600 clientes. No mesmo dia, derrubou o acesso, forçou a troca de senhas e mapeou o estrago.

Na terça, dentro do prazo, o CIS estava enviado e cada cliente tinha recebido um aviso claro com orientações. Resultado: alguns agradecimentos pela transparência, nenhuma reclamação formal e uma carteira de clientes praticamente intacta.

Dica: não espere o incidente para montar esse fluxo. Ter um plano de resposta pronto, com papéis e contatos definidos, é parte das boas práticas de governança que a LGPD valoriza no artigo 50 e reduz drasticamente o tempo de reação.

O que acontece se a empresa não comunicar?

Esconder um vazamento de dados costuma sair muito mais caro do que enfrentá-lo. As consequências vêm por três caminhos diferentes.

O primeiro é a fiscalização. A ANPD pode aplicar desde advertência até multa de 2% do faturamento, limitada a R$50 milhões por infração, além de bloqueio e eliminação de dados. Nosso guia sobre as multas e sanções da LGPD detalha cada penalidade. E não é teoria para gigantes: a primeira multa da ANPD, aplicada em 2023, atingiu uma microempresa, a Telekall Infoservice, em R$14.400.

Aqui vale destacar o outro lado da moeda. A lei manda considerar a boa-fé, a cooperação e a pronta adoção de medidas corretivas na hora de dosar a sanção. Comunicar o incidente e corrigir rápido não é admissão de culpa: é obrigação legal que pesa a seu favor. Ocultar, por outro lado, agrava tudo.

O segundo caminho é a Justiça. Pelo artigo 42, titulares prejudicados podem pedir indenização. O Superior Tribunal de Justiça já decidiu, em 2023, que o vazamento de dados comuns, por si só, não gera dano moral automático: a pessoa precisa comprovar o prejuízo. Quando há dano demonstrado ou dados sensíveis envolvidos, porém, o cenário muda e a condenação se torna bem mais provável.

O terceiro caminho é o mais silencioso: a reputação. O relatório Cost of a Data Breach, da IBM, estimou o custo médio de uma violação de dados no Brasil em R$6,75 milhões em 2024. Pequenas empresas não chegam perto desse valor absoluto, mas sentem o golpe proporcional: cliente perdoa erro, não perdoa silêncio. Quem fica sabendo do vazamento pela imprensa ou por terceiros dificilmente volta.

Como prevenir vazamentos de dados na sua empresa

A melhor resposta a incidente é a que nunca precisa ser usada. Estas 6 medidas cobrem as causas mais comuns de vazamento de dados pessoais em pequenas empresas:

• Mapeie e minimize. Você só protege o que sabe que tem. Identifique onde estão os dados pessoais da empresa e elimine o que não é necessário: quanto menos dado guardado, menor o estrago possível.
• Controle quem acessa o quê. Cada pessoa da equipe deve enxergar apenas os dados de que precisa para trabalhar. Ative a autenticação em duas etapas em todos os sistemas.
• Criptografe e faça backup. Equipamento criptografado que se perde vira susto administrativo, não crise. Backup atualizado neutraliza boa parte do poder de um ransomware.
• Treine a equipe. Phishing e erro humano estão entre as principais portas de entrada de incidentes. Conversas curtas e recorrentes sobre golpes e boas práticas custam pouco e evitam muito.
• Formalize contratos com fornecedores. Sistemas, agências e contadores que tratam dados por você precisam de cláusulas de segurança e do compromisso de avisar imediatamente se algo der errado do lado deles.
• Tenha o plano de resposta pronto. Papéis definidos, contatos à mão e modelos de comunicação preparados transformam 3 dias úteis de pânico em um processo controlado.

Um caso ilustrativo mostra a diferença que isso faz. Marcos, sócio de um escritório de contabilidade em Curitiba, teve um notebook furtado com declarações de dezenas de clientes. Como o disco era criptografado e havia backup, a avaliação documentada concluiu que não havia risco relevante: registro interno, troca de senhas e fim. O susto durou uma tarde, não um semestre.

Se você não sabe por onde começar, a análise de risco do DataSafu identifica as vulnerabilidades da sua empresa e prioriza o que corrigir primeiro, sem depender de consultoria.

E se os dados vazados forem os seus?

Até aqui falamos da empresa que sofreu o incidente. Mas se você descobriu que seus dados pessoais vazaram de algum serviço que usa, quatro atitudes imediatas reduzem o risco:

1. Troque as senhas das contas afetadas e de qualquer serviço onde usava a mesma senha
2. Ative a autenticação em duas etapas nos aplicativos importantes
3. Monitore extratos bancários, faturas de cartão e movimentações no seu CPF
4. Desconfie de ligações, e-mails e mensagens que citem seus dados para parecer legítimos: golpistas usam informações vazadas para ganhar confiança

Como titular, você também tem o direito de cobrar explicações da empresa que vazou seus dados e de buscar reparação quando houver prejuízo. A própria ANPD mantém uma página de orientações para quem teve dados vazados.

Perguntas frequentes sobre vazamento de dados na LGPD

O que a LGPD diz sobre vazamento de dados?

A LGPD trata o vazamento como incidente de segurança. O artigo 48 obriga o controlador a comunicar à ANPD e aos titulares os incidentes que possam causar risco ou dano relevante, e o artigo 46 exige medidas de segurança para prevenir que eles aconteçam.

O que diz o artigo 48 da LGPD?

O artigo 48 determina que o controlador comunique à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A comunicação deve descrever os dados afetados, os titulares envolvidos, as medidas de segurança adotadas, os riscos e as providências tomadas.

Qual o prazo para comunicar um vazamento de dados à ANPD?

O prazo é de 3 dias úteis a partir do conhecimento de que o incidente afetou dados pessoais, conforme a Resolução CD/ANPD nº 15/2024. Agentes de tratamento de pequeno porte têm o prazo em dobro: 6 dias úteis. O mesmo prazo vale para avisar os titulares afetados.

Todo incidente de segurança é um vazamento de dados?

Não. O vazamento é só um tipo de incidente, ligado à quebra de confidencialidade. Também são incidentes a alteração indevida de dados (integridade) e a perda de acesso a eles (disponibilidade), como em um ataque de ransomware ou na perda de um equipamento sem backup.

É possível receber indenização por vazamento de dados?

Sim, quando há dano comprovado. O artigo 42 da LGPD garante a reparação, mas o STJ entende que o vazamento de dados comuns, sozinho, não gera dano moral automático. Casos com prejuízo demonstrado ou dados sensíveis envolvidos têm chance bem maior de condenação.

Pequena empresa também precisa comunicar vazamento à ANPD?

Sim. A obrigação do artigo 48 vale para empresas de todos os portes quando o incidente traz risco relevante. A diferença é o prazo: agentes de pequeno porte comunicam em até 6 dias úteis, o dobro do prazo padrão.

O que fazer agora

Vazamento de dados na LGPD é um daqueles temas em que a preparação muda tudo. Recapitulando o essencial: a lei trata o vazamento como incidente de segurança; nem todo incidente precisa ser comunicado, mas todos precisam ser registrados por 5 anos; o prazo de comunicação é de 3 dias úteis, com 6 para empresas de pequeno porte; e a resposta organizada em 7 passos protege clientes, caixa e reputação.

O melhor momento para se preparar para um vazamento de dados é agora, enquanto ele não aconteceu. Comece entendendo o que sua empresa guarda e onde estão as brechas: faça o diagnóstico da sua empresa no DataSafu e descubra, em poucos minutos, o quanto ela está pronta para um incidente e o que ajustar primeiro.